服务器是怎么被放上挖矿程序的?

This topic created in 2407 days ago, the information mentioned may be changed or developed.

前两天生产有两台服务器被放了挖矿脚本,用 top 看,没发现有 100%的进程,但是看到 load average 很高,9 点多,平时基本都是零点几,因为没有系统的学习 linux,去网上搜了一段命令,才看到看到消耗 cpu 的进程,后面才 kill 进程,找到脚本文件,删除了定时任务
后面有点细思极恐了,是不是 root 密码泄漏了,赶紧改了密码,还好数据库没出问题,但还是很慌,有没有这种防范排查的教程呀,或者说一些安全操作生产服务器的规范.

脚本

服务器

进程

密码

13 replies • 2019-11-23 09:33:10 +08:00

Graves

Nov 22, 2019

ps -aux --sort=-pcpu|head -10
这个命令查看消耗 cpu 前十的进程

ddosakura

Nov 22, 2019 via Android

禁用密码登录，用密钥

Graves

Nov 22, 2019

巧合的是,我搜到的那篇文章,挖矿脚本的位置,crontab 的内容一模一样,手动狗头....我就照着做处理掉了,cpu 负载也下来了

Graves

Nov 22, 2019

自己也有思考这个问题,需要搞个公司内网的跳板机,然后需要登陆的机子密钥都放跳板机上面,要链接服务器就通过跳板机免密登陆,但是有个习惯,就是通过 filezilla 拉去文件,可视化的工具比较方便,免密登陆好像就用不了 filezilla

dier

Nov 22, 2019

可视化上传下载文件可以用 winSCP，支持密钥

opengps

Nov 22, 2019 via Android

多数挖矿程序是 445 端口漏洞，当然也有自己系统漏洞传入木马，让后下载启动挖矿的例子
建议重点排查下运维层面的入方向放行端口，网站接口的文件上传接口

woyao

Nov 22, 2019

可能 top 已经被替换了。

msg7086

Nov 22, 2019

如果 root 被攻破了，那整个系统就不安全了，建议重装。

FS1P7dJz

Nov 22, 2019

我怀疑你们 22 都没改
直接被批量扫描注入

另外 top 之类当然可以被替换
高明的挖矿都不会让你服务器明显异常,只跑在低负载时间段

justseemore

Nov 22, 2019

jumpserver2 ..

Graves

Nov 22, 2019

@woyao 应该没有替换,看了操作系统文件的路径

@msg7086 成本太大了,只能暂时观察
@FS1P7dJz 22 没改,但是密码还是很复杂了,想不到这么容易攻破,也不确定是不是被攻破,这个挖矿很有意思,但是网络监控里面看到有大量请求外网的 ip,我一登陆上去他会停止挖矿,netstat 就看不到链接了

其实主要想问有没有这类的教程或者防范检测资料,想学习一下,不然只能于是不决,重装系统了.

FS1P7dJz

Nov 23, 2019

如果你们没有专门的运维人员
那么用类似安全狗这样的傻瓜工具会比自己折腾好

另外,在对外服务上的漏洞可能性更大

wzw

Nov 23, 2019 via iPhone

好奇，服务器能挖什么矿